미국 NSA (National Security Agency)는 사이버 범죄자들이 볼티모어의 정부 시스템에 대한 공격을 전파하기 위해 자사의 해킹 도구를 사용했다는 사실을 부인했습니다..
공무원들이 다음 조치를 고민하면서이 공격은 몇 주 동안 도시 서비스를 마비 시켰습니다. C.A. 대표가 발표 한 성명에 따르면 NSA 관리인 Dutch Ruppersberger는 기관에서 개발 한 도구가 중요한 정부 컴퓨터 시스템을 가로 채거나 방해하는 데 사용되었다는 사실을 부인했습니다..
버나드 영 시장의 성명에 따르면,시는 감염된 시스템 당 3 비트 코인 인 가해자들이 요구하는 몸값을 지불하려고하지 않습니다. 정부 관계자는 모든 플랫폼이 복원되기까지 몇 달이 걸릴 수 있음을 인정합니다.
멀웨어 공격으로 인해 도시의 대다수 시스템이 종료되었지만 911 및 311 네트워크와 같은 중요한 시스템은 영향을받지 않았으며 여전히 작동 중입니다.. 월스트리트 저널 보고서 약 10,000 대의 정부 컴퓨터가 감염되었고 많은 컴퓨터가 여전히 잠겨 있습니다..
현재, 영향을받는 시스템을 사용하여 미지급 담보권과 같은 부동산 판매자에 대한 세부 정보를 공개 할 수 없기 때문에 주택 판매 처리가 지연되고 있습니다. 이러한 정보는 보험사에 공개해야하지만 현재 액세스 할 수 없습니다. 수도 요금 청구 시스템도 영향을 받아 고객이 당분간 청구서를받지 못할 것입니다. 지연으로 인해 상황이 해결되면 요금이 급증 할 수 있습니다..
다음은 시장의 공식 성명 현재 상황에 대한 개요 제공.
“모든 시스템이 언제 복원 될지에 대한 정확한 일정을 알려 드릴 수 없습니다. 여느 대기업과 마찬가지로 우리는 수천 개의 시스템과 애플리케이션을 보유하고 있습니다..
우리의 초점은 중요한 서비스를 온라인으로 되 돌리는 것이며,이 과정에서 보안을 최우선 순위로 유지하는 방식으로 수행하는 것입니다. 몇 주 내에 부분 서비스가 복원되기 시작하는 것을 볼 수 있지만 좀 더 복잡한 시스템 중 일부는 복구 프로세스에 몇 달이 걸릴 수 있습니다. “
Google은 볼티모어 Gmail 계정을 비활성화했습니다.
공격의 여파로 볼티모어의 공무원들은 감염된 시스템을 비활성화 한 후 해결 방법으로 임시 Gmail 계정을 설정하려고 한 것 같습니다. 볼티모어 태양에 따르면, 그들 중 많은 사람들이 장애인.
처음에는 왜 이런 일이 발생했는지는 불분명했지만 Google 대변인 인 Brooks Hocog는 현지화 된 지역에서 Gmail 계정을 대량으로 생성하면 회사의 보안 시스템이 작동하여 대다수가 비활성화되었다고 설명했습니다. 많은 사람들이 성명을 발표 한 후 얼마 지나지 않아 복원 된 것으로 알려졌습니다..
감염이 발생한 방법
해커는 유출 된 NSA 해킹 도구 인 EternalBlue를 활용하여 매우 짧은 시간 내에 수천 명의 컴퓨터 시스템을 감염시킬 수있었습니다. 5 월 7 일,시의 공무원이 깨어나 랜섬웨어로 암호화 된 중요한 파일 시스템을 찾았습니다..
사이버 범죄자들은 비트 코인 지불을 요구했습니다. 시스템이 즉시 오프라인으로 전환되고 FBI가 조사를 요청했지만,시 행정부의 음성 메일 시스템과 주차 벌금 데이터베이스는 암호화되어있었습니다. 사이버 보안 회사 인 Armour는 자신이 남긴 메모의 편집 이미지를 공유했습니다. 몸값을 요구하는 해커.
4 일 후에는 하루에 $ 10,000로 인상 될 것이며 더 이상 협상이 진행되지 않을 것이라고 경고했습니다..
사이버 범죄자들은 정부 서버에 액세스 취약한 컴퓨터 시스템을 통해. 그런 다음 감염된 컴퓨터가 네트워크에 연결된 다른 컴퓨터를 감염시킬 수있는 백도어를 만들 수있었습니다..
이 프로젝트를 진행하는 사이버 보안 계약자는 EternalBlue와 함께 네트워크 컴퓨터에서 “해시를 통과”하는 데 사용할 수있는 웹 셸이라는 또 다른 도구를 발견했다고합니다. 이로 인해 복사 된 자격 증명을 사용하여 네트워크 프로토콜을 우회함으로써 맬웨어가 더 많이 확산 될 수 있습니다..
암호화 해커가 널리 사용하는 EternalBlue
EternalBlue 익스플로잇은 NSA에 의해 개발되었지만 2017 년에 Shadow Brokers에 의해 온라인으로 유출되었습니다. 그 이후로 원본 코드는 컴퓨터 시스템에 침투하여 악성 코드, 암호 화폐 채굴 기 및 랜섬웨어를 설치하기 위해 수많은 악의적 인 행위자에 의해 수정되었습니다..
특히 유출 후 불과 몇 달 만에 2017 년 전 세계 PC를 감염시킨 악명 높은 WannaCry 랜섬웨어 공격을 수행하는 데 사용되었습니다. 그것은 개인용 컴퓨터의 파일을 암호화 한 다음 암호 화폐로 지불하도록 몸값을 요구하는 방식으로 작동했습니다. 100 개 이상의 국가에서 150,000 대 이상의 컴퓨터가 감염되었습니다..
마이크로 소프트는 공격을 막기 위해 고안된 패치를 신속하게 출시했지만 불법 복제 된 Windows 소프트웨어의 광범위한 사용, 패치 설치 실패 또는 최신 마이크로 소프트 보안 업데이트로 인해 취약한 수백만 대의 컴퓨터가 여전히 존재하고 있습니다. 조사자들은 공격에 대한 보안 업데이트 설치 실패가 볼티모어 공격의 성공 원인이라고 생각합니다..
암호화 채굴 해커 그룹이 선호하는 EternalBlue
EternalBlue는 1 월에 연구원들이 특히 중국의 컴퓨터와 서버를 대상으로하는 정교한 크립토 재킹 캠페인에서 사용을 발견 한 후 다시 각광을 받았습니다..
Qihoo 360 보안 팀은 감염을 가장 먼저 발견 한 것으로 알려져 있습니다. 이 캠페인은 감염된 컴퓨터에 악성 코드 페이로드를 다운로드하고 Monero와 같은 암호 화폐를 채굴하기 위해 강력한 PowerShell 스크립트와 함께 EternalBlue에 의존 한 것으로 보입니다..
최근에 시만텍은 특히 중국 기업을 표적으로 삼은 EternalBlue 익스플로잇과 관련된 주요 크립토 재킹 캠페인을 발견했습니다. 그것은 파일 기반 암호화 채굴기에 의존했습니다. 컴퓨터의 초기 감염은 피싱 이메일을 통해 수행 된 것으로 보입니다..
최근 암호 화폐 시장의 부상은 암호 화폐 멀웨어 공격의 부활을 불러 일으키는 것으로 여겨집니다.. 시만텍 보고서 크립토 재킹 감염은 크립토 시장이 약세 모드로 진입 한 후 2018 년에 약 50 % 감소했습니다..
이 보고서는 랜섬웨어 공격이 감소하고 현재 약 20 % 감소했지만 기업을 대상으로하는 캠페인은 약 12 % 증가했다고 강조합니다..
(추천 이미지 크레딧 : Pixabay)
